Tudta, hogy a ransomware bandák nyitottak a tárgyalásokra? Ha a körülmények azt szabják, hogy a váltságdíjat ki kell fizetnie, akkor ne csak átforduljon, hanem tárgyaljon egy jobb üzletről. Így kell eljárni.
Whan Ransomware Strikes
A ransomware támadás rosszindulatú programokat telepít a hálózatra. Titkosítja az adatait, és visszafejtéséhez kriptovaluta váltságdíjat követel. A leggyakoribb támadási vektorok továbbra is a adathalász támadás vagy kihasználva a Távoli asztali protokoll gyakran a rossz jelszókezelés kihasználásával.
A fenyegetett szereplők szempontjából a ransomware masszívan jövedelmező és viszonylag könnyen megvalósítható kibertámadás. Alapján jelentés valami által Európai Unió Kiberbiztonsági Ügynöksége (ENISA), az áldozati szervezetek 45 százaléka fizeti a váltságdíjat. Akkor nem meglepő, hogy a ransomware támadások egyre nagyobb számban vannak. A Bitdefender 2020 évközi jelentés megállapítja, hogy a globális ransomware támadások évről évre 715 százalékkal növekedtek.
A Szövetségi Nyomozó Iroda (FBI) nem fizeti meg a váltságdíjat. A váltságdíj kifizetése csak újabb ransomware támadásokat ösztönöz. Ha robusztus katasztrófa utáni helyreállítási rendszerrel rendelkezik, átpróbált eseménytervvel rendelkezik, és a biztonsági másolatok nem sérültek, akkor visszaállíthatja rendszereit támadás előtti állapotukba. Egyszer, vagyis meghatározta, hogyan jutottak hozzá a hálózathoz, és hogyan szüntette meg a biztonsági rést. De ez napokat, esetleg heteket vehet igénybe.
Ha a kórházakat és más kritikus szolgáltatásokat és infrastruktúrát ransomware érinti, a lehető leggyorsabban fel kell gyógyulnia. A COVID-19 járvány felvetette annak valószínűségét, hogy a kórházakat és az egészségügyi vállalatokat ransomware célozza meg. Ha egyszerűen nem tud elviselni semmilyen leállást, vagy a helyreállítási folyamat többe kerül, mint a váltságdíj, a váltságdíj kifizetése két rossz közül a kisebbnek tűnhet.
A Nincs több Ransom a projektet az Interpol és számos partnerszervezet alapította, hogy a közös ransomware dekódolóit biztosítsa. Lehet, hogy van egy eszközük, amely visszafejti a titkosított adatait.
A Ransomware támadásokat egyre inkább a cég bizalmas vagy egyéb érzékeny információinak kiszűrése kíséri. A kiberbűnözők azzal fenyeget, hogy leleplezi ezeket az információkat ha nem fizeti a váltságdíjat. Ne feledje, még akkor is, ha kifizeti a váltságdíjat, előfordulhat, hogy nem kapja vissza az adatait. Előfordulhat, hogy a fenyegetés szereplői által használt dekódoló nem működik megfelelően. Ha visszafejtik az adatait, akkor is valószínű, hogy rosszindulatú programokkal fertőzött.
Egyes szervezetekre a kiberbiztosítás vonatkozik. Ez rendben van, de a bizonyítékok arra engednek következtetni, hogy ha az internetes bűnözők tudják, hogy egy szervezet kiberbiztosítással rendelkezik, akkor feltételezik, hogy a váltságdíjat fizetik, függetlenül attól, hogy a szervezet rendelkezik-e elegendő pénzzel vagy sem. Ez azt jelenti, hogy a váltságdíjat nem a szervezet pénzügyei, hanem a biztosítási kötvény által biztosított fedezet értéke határozza meg. Felfújhatják váltságdíj iránti igényüket, és még előnyben részesíthetik a biztosított szervezeteket is.
Természetesen az ideális forgatókönyv az, ha nem ér el ransomware. De ha mégis megteszi, és a körülmények azt feltételezik, hogy fizetnie kell a váltságdíjat, akkor tárgyalhat az internetes bűnözőkkel.
Kapcsolódó: Hogyan készüljünk fel és harcoljunk egy Ransomware támadásra
A bizalom és a kétségbeesés keveréke
Szinte biztosan nem te vagy a legjobb ember a tárgyalások lebonyolításához, és senki sem a szervezetednél. Elég lesz a tányérján a behatolás pontjának azonosításához és a sérülékenység javításához, és megpróbálja a szervezetet működtetni bármilyen eszközzel. Talán a személyzet otthon dolgozhat. Talán szegmentált hálózata volt, és néhány informatikai infrastruktúrája és telekommunikációs berendezése elkerülte a fertőzést.
Frissítenie kell a táblát vagy a C-csomagot, kezelnie kell az ügyfél és az ügyfél lekérdezéseit, végre kell hajtania az adatvédelmi jogszabályok által megkövetelt műveleteket, a PR kezelését és sok más olyan műveletet, amely része lesz az eseményekre adott válaszkönyvnek. akkor is, ha mindez nem állna a hátán, akkor is jobb, ha szakértőkkel vesz részt a tárgyalások lebonyolításában.
A továbblépés ismeretének alapja annak megértése, hogy kivel és mivel foglalkozol. Milyen ransomware törzset használtak ellened. Meg tudja azonosítani az internetes bűnözőket, és tudja-e, hogy milyenek a múltjuk?
Egyes ransomware bandák megbízhatóbbak, mint mások. Helyesen működő visszafejtési rutinokkal rendelkeznek, és valóban visszaállítják az adatokat. Ezt követően nem térnek vissza további zsarolási követelésekkel az általa kiszűrt adatok nyilvánosságra hozatalával kapcsolatban. Más bandák kevésbé. Ha a visszafejtő csuklik és nem működik, az csak nehéz neked.
Léteznek olyan cégek, amelyek lebonyolíthatják ezeket a tárgyalásokat az Ön számára, és szakértelmeiket és tapasztalataikat az Ön előnyére fordíthatják. Egyes szervezetek igazolhatják egy ilyen cég megtartását a megtartón, de sokan nem. minden szervezet kutathat a közelükben lévő kibertámadás-eseménykezelő társaságokról, amelyek tárgyalási szolgáltatással rendelkeznek. Legtöbbjük egy komplett kibertámadás-elhárítási szolgáltatást kínál, amely tárgyalásokat tartalmaz.
A legtöbb országban köteles – vagy legalábbis erősen ösztönözni -, hogy értesítse a bűnüldöző szerveket és jelentse a támadást. Adatvédelmi törvényei előírhatják, hogy értesítsék az érintett érintetteket, és hozzanak létre egy módszert azok frissítésére. Lehet, hogy jelentenie kell az eseményt egy adatvédelmi hatóságnál. És ha van kiberbiztosításod, minél előbb kezdj el beszélni velük. Tudnod kell, hogy fedezetet várnak-e erre az esetre, vagy sem. Ez elengedhetetlen tudás a tárgyalásokhoz.
A tárgyalások
Első lépés: Műszaki részletek
Győződjön meg róla, hogy azonosította a fertőzés módját, és hogy bezárta ezt a biztonsági rést, hogy azt ne lehessen újra kihasználni. Miután megbizonyosodott arról, hogy a fenyegetett szereplőket kizárták a rendszeréből, számba kell vennie. Pontosan mit titkosítottak, mekkora a kompromisszum?
A teljes informatikai birtok, egy alhálózat, több szerver vagy az összes szerver? Ha a hálózatát nem titkosították teljes egészében, akkor nyitó gambitja lesz. Miért kell fizetnie a teljes váltságdíjat, ha az egész hálózatot nem titkosították? De abszolút pozitívnak kell lenned abban, hogy a számítógépes bűnözőket elzárták. Ha továbbra is hozzáférhetnek a hálózathoz, és megtudhatják, hogy vannak olyan területek, amelyek nem lettek titkosítva, akkor újra csatlakoznak és titkosítják azokat az eszközöket, amelyekből hiányoztak.
Az elkövetőkkel való kommunikáció módját általában a váltságdíjas üzenet írja le. Általában ez egy olyan portál, amelybe bejelentkezik az üzenetek cseréjéhez. Ellenőrizze, hogy hozzáfér-e ehhez, de még ne nyisson megbeszéléseket. Feltehet olyan kérdést, mint például, hogy jó helyen jár-e, vagy egy másik ártatlan kérdést. Megmutatja azokat a kiberbűnözőket, akik eddig eleget tesznek parancsaiknak anélkül, hogy bármit is odaadnának.
Második lépés: Kutatás és felderítés
Valakinek azonosítania kell a ransomware törzsét. Ezért van értelme egy külső eseményekre reagáló vállalatnak. Ehhez hozzáértéssel és szakértelemmel rendelkeznek. Ezeket az információkat más nyomokkal együtt használják, például a váltságdíjas jegyzet típusát, a támadási vektort és a fertőzés módját, az üzenetportál típusát, amelyet kommunikálnak Önnel, és más ransomware esetek részleteit a fenyegetés szereplőinek azonosítására. Ez a hozzárendelési lépés nagyon fontos.
A ransomware banda kilétének ismerete lehetővé teszi az elhárító csapat számára, hogy hivatkozhasson ezen elkövetők más ransomware támadásokra. Megnézhetik, hogy ez a ransomware-banda tipikusan működőképes visszafejtőket nyújt-e, és történelmileg betartották-e megállapodásukat, miszerint később nem zsarolják az áldozatot több pénzért azzal, hogy megfenyegetik az exfiltrált adatok kiadását.
Fontos, hogy megtudhatják, milyen váltságdíjakat követelt ez a banda a korábbi támadásokban, és mi volt a végleges egyeztetett szám. A váltságdíjak kiválaszthatók a levegőből, és szokásos nyitó igényt jelenthetnek, vagy meghatározhatják azokat a fenyegetett szereplők, akik az áldozatok szervezetének forgalmát vizsgálják. Ezek az értékelések vadul torzulhatnak. Néha egy tulajdonosi csoport értékét nézik a titkosított tényleges üzlet helyett.
„Vissza kell visszaküldenünk adatainkat, hajlandóak vagyunk fizetni, de az Ön értékelése téves, és egyszerűen nincsenek meg az alapjaink” – ez ésszerű első lépés a tárgyalásokon.
Harmadik lépés: Tárgyalás
A ransomware bandának ez csak üzleti tranzakció. Ez nem személyes. Egy külső tárgyaló semlegesebb maradhat, mint a szervezet belső képviselői. Az érzelmek elnyerése nem lesz eredményes.
Mint minden nagyságrendű üzleti tranzakció esetében, tárgyalások várhatók. Természetesen a kiberbűnözők azt akarják, hogy mindent a lehető leggyorsabban becsomagoljanak. Az elhúzódó tárgyalások valószínűbbé teszik a bűnüldöző szervek általi észlelésüket. De nem lehet csak elakadni. Ha úgy ítélik meg, hogy túl kockázatos a folytatás, akkor elmennek, és titkosított hálózat marad. De ha az áldozat egyszerűen nem tudja teljesíteni a váltságdíjat, akkor a ransomware bandának csökkentenie kell elvárásait. Végül is némi váltságdíj jobb, mint a váltságdíj nélkül.
Mindenképpen kérjen és szerezzen be egy demonstrációt arról, hogy a visszafejtő megfelelően működik. Látnod kell, hogy sikeresen visszafejti a különféle típusú fájlok kiválasztását különböző szerverekről és alhálózatokról. Ez nem ésszerűtlen, és a számítógépes bűnözőknek ezt nagyon könnyen meg kell tudniuk tenni.
Csak igazságos, hogy van bizonyítékod arra, hogy meg fogod kapni azt, amiért fizetsz. Ez azzal egyenértékű, hogy bizonyítékot kérünk arra vonatkozóan, hogy az emberi túszok még élnek a váltságdíj kifizetése előtt.
Negyedik lépés: Fizetés
Ha megegyezés született, a váltságdíjat kifizetik. Ez egy kriptovalutában lesz. Bitcoin a kedvenc, mert az első kriptovaluta felhasználó számára könnyű megszerezni. Ne feledje, hogy ez a lépés napokat vehet igénybe. Körültekintő lehet kis mennyiségű bitcoin beszerzése elővigyázatosságból, hogy ne igényelje őket a jövőben. Időbe telik a digitális pénztárca megszerzése és a Bitcoin-felhasználóként történő hitelesítési adatok megszerzése a ransomware incidens kritikus pályájáról.
A kommunikáció, a tárgyalások, a megállapodás és a fizetés visszaigazolásának átiratát exportálják a portálról, és hozzáférhetővé teszik az áldozatok szervezete számára. Ez az átirat gyakran szükséges a biztosító társaságnál, vagy más jogi vagy szerződéses okokból.
Ha az adatokat a hálózat titkosítása előtt kiszűrték, akkor a számítógépes bűnözők szaván kívül nincs más, mint hogy az adatokat törlik, és a jövőben nem használják fel zsarolásra. Nem sok, de van remény, hogy a kiberbűnözők megértik, hogy ha mégis visszautasítják az ilyen ügyleteket, a jövő áldozatai kevésbé hajlandók fizetni a váltságdíjat – vagy annyi váltságdíjat -, ha a ransomware bandának nyilvánvaló, hogy nem tartja fenn az oldalát. a megállapodás.
Az adatok ilyen módon történő elvesztése adatszegésnek minősül, és valószínűleg jelenteni kell az adatvédelmi hatóságnál. Bizonyos jogszabályok, például a Általános adatvédelmi rendelet, maga a ransomware támadás adatmegsértésnek számít, mert elvesztette az adatok irányítását.
Ötödik lépés: Mortem utáni
Nincs időd hátradőlni és nyalogatni a sebeidet.
Legalább:
- Amint lehet, végezzen behatolási és sebezhetőségi teszteket. Ügyeljen arra, hogy az eredmények alapján cselekedjen. Használja a teszt eredményeit a javító tevékenységének irányításához.
- Ha kiberbiztosítással rendelkezik, akkor a problémát a biztosító társasággal kell folytatnia.
- Kezelje a hivatalos kommunikációt. Tájékoztatott mindenkit, akinek szüksége van, beleértve a bűnüldöző és adatvédelmi hatóságokat is? Hivatalos nyilatkozatot kell küldenie kereskedelmi partnereinek, ügyfeleinek és az érintett érintetteknek. Foglalja össze a támadás eseményeit és annak lezárását. Feltétlenül vegyen fel egy szakaszt, amely leírja, mit tett az ismétlődés megelőzése érdekében.
Most tervezze meg a következő alkalmat
Mi akadályozta meg a katasztrófa utáni helyreállítási rendszert, vagy a biztonsági másolatok kitisztítását és helyreállítását, hogy ne kelljen fizetnie a váltságdíjat?
Vizsgálja meg ezeket és más üzletmenet-folytonossági lehetőségeket. Valószínűleg rájön, hogy olcsóbbak, mint a váltságdíj, csökkentik a biztosítási díjat, és megkönnyítik az adatvédelmi jogszabályok betartását.
